现状分析

　　学校原本打算将两个分校区的Internet 出口去掉，并租用专线将三个校区的Internet 出口统一到主校区，并加大带宽，以方便网络管理。但考虑到目前三个校区都有各自的Internet出口(均采用中国网通)，各校区间相距较远，租用专线的费用高，就算将Internet出口统一到了主校区，也会存在增大主校区的防火墙、核心交换机等网络设备的负荷而产生访问瓶颈等问题。所以，我们仍保持各校区原有的Internet接入方式不变。

　　异构应用的资源共享

　　由于各校区都有各自的Internet 出口，因此都有各自可供公网访问的IP地址，可以架设自己的服务器来提供各自的网络服务。

　　对于一些B/S架构的应用来说，我们是将应用服务器放在主校区校园网的DMZ区，并对主校区校园网防火墙设置访问控制策略，以允许校外用户(包括两个分校区)访问该应用服务器上的相应服务端口。

　　而对于仅允许各校区校内用户访问的资源，比如FTP、下载中心等服务提供的校内资源，既可通过获取各分校区访问公网用的IP地址，并在应用服务器所在校区的出口路由器或防火墙上做进一步的IP地址限制，也可以通过应用系统提供的IP地址限制功能来实现。

　　这种校内资源又可根据资源服务器所在位置的不同而制定相应的限制策略。像我校图书馆购买的万方、超星数据库等校内资源都位于资源提供商的服务器上(一般多是在校外)，则由图书馆将三个校区访问公网所使用的IP地址段提供给万方、超星等资源提供商，由他们进行限制。采用此方式的好处是资源更新及时，不需要校内人员维护资源更新，只需要我们在学校主页上做好地址链接即可，但各校区对此类资源的访问会受公网网速的限制。

　　如果校内资源是放在某个校区校内的镜像服务器上，则由校方根据上述的策略自行限制。这种方式的优点是访问速度快，但更新不够及时，且需要校内人员进行维护，该方式其实更适合于校内自建资源的建设。

　　同样，在各分校区互访时，对于一些C/S架构的应用(比如档案管理或教务管理等早期的管理信息系统)来说，情况复杂一些。首先要了解客户端需要访问服务器的哪些端口，然后在边界路由器或防火墙上开放对指定服务器的端口访问即可。

　　主校区校园网目前没有采用路由器，而是通过一台防火墙的四个接口同时连接中国教育网、中国网通、主校区内网和服务器DMZ区四个区域，使用防火墙的静态路由、策略路由、地址转换、反向地址转换等功能，以及BIND 9下的基于策略的域名解析服务功能来保证校内外用户对主校区各项网络服务访问的正常进行。图1为主校区网络拓扑示意图。

　　由于各客户端分散在不同校区，访问时需要通过在客户端配置文件里填写C/S架构服务器的网通IP地址和端口号等方式来配置客户端程序。在这种情况下，我们将C/S架构的教务管理服务器放在主校区校园网的DMZ区。由于主校区存在教育网和网通两个出口，因此给教务管理服务器分配的是DMZ区的教育网IP地址，同时还要给该服务器分配网通的IP地址，以供其他两个校区的客户端通过网通线路来访问，所以各校区(包含主校区)客户端软件都在配置文件中统一填写分配给该服务器的网通IP地址和端口号。此时需要分别针对外网分校区用户和内网用户，在主校区的防火墙相应接口上做NAT转换(正向网络地址转换)和DNAT转换(反向网络地址转换)，即通过防火墙在外网接口上做网络地址转换，将教务管理服务器的教育网IP地址和端口号转换为网通IP地址和端口号；同时，通过防火墙分别在外网接口和内网接口上做反向网络地址转换，将其他分校区用户在外网接口上对教务管理服务器的网通IP地址和端口的访问以及内网用户在内网接口上对教务管理服务器的网通IP地址和端口的访问，统一映射为对教务管理服务器教育网IP地址和端口的访问，从而解决C/S架构应用的跨公网访问的问题。

　　实现异地资源访问

　　由于各校区之间的访问要经过公网，其信息安全会受到来自公网的威胁。同时，如果校内人员在校外想访问校内的受限资源，就会因为IP地址限制等原因无法访问。这时，可在各校区之间的公网区域上通过VPN技术来解决，要求互联设备(如路由器、防火墙)或软件支持VPN功能。

　　由于乌鲁木齐职业大学即将搬迁到新校区，且目前各校区均能通过公网互访受限和非受限资源，所以各校区之间的Intranet VPN功能就暂时没有实现。

　　而对于在校外的师生来说，我们则是通过Access VPN方案来解决安全访问校内受限资源的问题的。

　　现状分析

　　学校原本打算将两个分校区的Internet 出口去掉，并租用专线将三个校区的Internet 出口统一到主校区，并加大带宽，以方便网络管理。但考虑到目前三个校区都有各自的Internet出口(均采用中国网通)，各校区间相距较远，租用专线的费用高，就算将Internet出口统一到了主校区，也会存在增大主校区的防火墙、核心交换机等网络设备的负荷而产生访问瓶颈等问题。所以，我们仍保持各校区原有的Internet接入方式不变。

　　异构应用的资源共享

　　由于各校区都有各自的Internet 出口，因此都有各自可供公网访问的IP地址，可以架设自己的服务器来提供各自的网络服务。

　　对于一些B/S架构的应用来说，我们是将应用服务器放在主校区校园网的DMZ区，并对主校区校园网防火墙设置访问控制策略，以允许校外用户(包括两个分校区)访问该应用服务器上的相应服务端口。

　　而对于仅允许各校区校内用户访问的资源，比如FTP、下载中心等服务提供的校内资源，既可通过获取各分校区访问公网用的IP地址，并在应用服务器所在校区的出口路由器或防火墙上做进一步的IP地址限制，也可以通过应用系统提供的IP地址限制功能来实现。

　　这种校内资源又可根据资源服务器所在位置的不同而制定相应的限制策略。像我校图书馆购买的万方、超星数据库等校内资源都位于资源提供商的服务器上(一般多是在校外)，则由图书馆将三个校区访问公网所使用的IP地址段提供给万方、超星等资源提供商，由他们进行限制。采用此方式的好处是资源更新及时，不需要校内人员维护资源更新，只需要我们在学校主页上做好地址链接即可，但各校区对此类资源的访问会受公网网速的限制。

　　如果校内资源是放在某个校区校内的镜像服务器上，则由校方根据上述的策略自行限制。这种方式的优点是访问速度快，但更新不够及时，且需要校内人员进行维护，该方式其实更适合于校内自建资源的建设。

　　同样，在各分校区互访时，对于一些C/S架构的应用(比如档案管理或教务管理等早期的管理信息系统)来说，情况复杂一些。首先要了解客户端需要访问服务器的哪些端口，然后在边界路由器或防火墙上开放对指定服务器的端口访问即可。

　　主校区校园网目前没有采用路由器，而是通过一台防火墙的四个接口同时连接中国教育网、中国网通、主校区内网和服务器DMZ区四个区域，使用防火墙的静态路由、策略路由、地址转换、反向地址转换等功能，以及BIND 9下的基于策略的域名解析服务功能来保证校内外用户对主校区各项网络服务访问的正常进行。图1为主校区网络拓扑示意图。

　　由于各客户端分散在不同校区，访问时需要通过在客户端配置文件里填写C/S架构服务器的网通IP地址和端口号等方式来配置客户端程序。在这种情况下，我们将C/S架构的教务管理服务器放在主校区校园网的DMZ区。由于主校区存在教育网和网通两个出口，因此给教务管理服务器分配的是DMZ区的教育网IP地址，同时还要给该服务器分配网通的IP地址，以供其他两个校区的客户端通过网通线路来访问，所以各校区(包含主校区)客户端软件都在配置文件中统一填写分配给该服务器的网通IP地址和端口号。此时需要分别针对外网分校区用户和内网用户，在主校区的防火墙相应接口上做NAT转换(正向网络地址转换)和DNAT转换(反向网络地址转换)，即通过防火墙在外网接口上做网络地址转换，将教务管理服务器的教育网IP地址和端口号转换为网通IP地址和端口号；同时，通过防火墙分别在外网接口和内网接口上做反向网络地址转换，将其他分校区用户在外网接口上对教务管理服务器的网通IP地址和端口的访问以及内网用户在内网接口上对教务管理服务器的网通IP地址和端口的访问，统一映射为对教务管理服务器教育网IP地址和端口的访问，从而解决C/S架构应用的跨公网访问的问题。

　　由于各校区之间的访问要经过公网，其信息安全会受到来自公网的威胁。同时，如果校内人员在校外想访问校内的受限资源，就会因为IP地址限制等原因无法访问。这时，可在各校区之间的公网区域上通过VPN技术来解决，要求互联设备(如路由器、防火墙)或软件支持VPN功能。

　　由于乌鲁木齐职业大学即将搬迁到新校区，且目前各校区均能通过公网互访受限和非受限资源，所以各校区之间的Intranet VPN功能就暂时没有实现。

　　而对于在校外的师生来说，我们则是通过Access VPN方案来解决安全访问校内受限资源的问题的。

　　在主校区搭建VPN服务器

　　首先在Windows 2003服务器上依次选择“开始”→“管理工具”→“路由和远程访问”，打开“路由和远程访问”服务窗口，再在窗口左边右击本地计算机名，选择“配置并启用路由和远程访问”，启用此服务时要求在服务管理控制台里禁用“Windows Firewall/Internet Connection Sharing (ICS)”服务。

　　其次在“路由和远程访问服务器安装向导”的配置中，选择“远程访问(拨号或VPN)”，然后单击“下一步”。在配置中，选择“VPN”，然后单击“下一步”。在VPN连接中，单击“与连接到Internet或周边网络上的接口相对应的外网网络连接”，然后单击“下一步”。在网络连接中，单击“将远程VPN客户端指派到想让他们使用的内网网络连接上”，然后单击“下一步”。

　　最后，如果VPN服务器要用DHCP来获取远程访问VPN客户端的IP地址，则在IP地址分配中单击“自动”或者单击“来自一个指定的地址范围”来使用一个或多个静态地址范围，为远程客户进行IP地址分配，比如此处为“192.168.1.100～192.168.1.200”。采用DHCP动态IP的网络速度相对较慢；而使用静态IP可减少IP地址解析时间，提升网络速度，其起始IP地址和结束IP地址的设置可以依据所在地区的IP地址段，也可自行定义。

　　VPN服务器端口设置

　　路由和远程访问服务器重新启动后，自动在端口中创建了128个PPTP端口和128个L2TP端口。我们可以根据服务器的带宽来调整端口数量，以满足实际需要。每个连接到VPN服务器的VPN客户都需要申请一个空闲端口，并在断开时释放对端口的占用。

　　通过以下步骤来设置VPN服务器端口：

　　(1)在路由和远程访问控制台树下，打开端口属性里的设备对话框，并选中相应的VPN端口设备：WAN微型端口(PPTP)和WAN微型端口(L2TP)，然后单击“配置”；

　　(2)在“配置设备”对话框中，选中“远程访问连接”，允许VPN客户进行连接；

　　(3)通过设置“最多端口数”来增减端口的数量：

　　(4)单击“确定”。

　　在主校区防火墙上开启端口访问

　　可在VPN服务器的“C:\WINDOWS\system32\drivers\etc\”目录下找到services文件，里面有如下两行关于VPN服务开启的端口和使用的协议，可据此来设置防火墙的访问控制策略。

　　L2TP 1701/udp #Layer Two Tunneling Protocol

　　PPTP 1723/tcp #Point-to-point tunnelling protocol

　　VPN客户端配置

　　首先，在桌面“网上邻居”图标点右键选“属性”，在左边的“网络任务”里点击“创建一个新的连接”，打开“新疆连接向导”窗口后点击“下一步”；接着在“网络连接类型”窗口里选择第二项“连接到我的工作场所的网络”，继续选择“下一步”，在“新建连接向导”窗口里选择第二项“虚拟专用网络连接”；接着为此连接命名后点选“下一步”。

　　其次，在“VPN 服务器选择”窗口里，要求我们输入VPN服务端的IP地址或域名；接着使“可用连接”窗口保持“只是我使用”的默认选项；为了方便操作，可以勾选“在我的桌面上添加一个到此连接的快捷方式”选项，单击“完成”，即会出现“连接uvu”的窗口。输入访问VPN服务端的合法账户后，下面的操作就跟Windows XP下的“远程桌面”功能相同。连接成功后在右下角状态栏会有图标显示。

　　连接后的资源访问

　　打开共享目录资源的方法有两种：一是通过“网上邻居”查找VPN服务端共享目录；二是在浏览器里输入VPN服务端固定IP地址或动态域名。这其实已经跟在同一个局域网内的操作没什么区别了，自然也就可以访问主校区里受限的文件共享、FTP、视频点播、图书管理等资源了。

　　(作者单位为乌鲁木齐职业大学现代教育技术中心)

　　来源：《中国教育网络》2009年07月刊